vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Хакеры из COBALT вновь атаковали российские банки

Дата публикации: 30.05.2018
Количество просмотров: 789
Автор:

В последние недели мая банки России, стран СНГ подверглись атаке со стороны хакерской группы Cobalt. Сразу две целевые атаки группа провела, по данным Group-IB,  23 и 28 мая.

На сей раз для атаки использовались фишинговые письма от имени "Лаборатории Касперского".

Лидер группы был арестован в Испании в конце марта нынешнего года. Но судя по всему, у хакеров, оставшихся на свободе, оказалось достаточно сил, чтобы в очередной раз попытаться взломать защиту банков.

Первая волна фишинговой рассылки зафиксирована в Москве 23 мая в 13:21. Пользователь получил "жалобу" на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться с вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что привело бы к заражению компьютера сотрудника банка.

Провести атрибуцию и подтвердить, что рассылка дело рук Cobalt не составило труда: в атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017. Детально её работа рассмотрена в отчете Group-IB. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.

28 мая около 13:00 по МСК зафиксирована очередная атака Cobalt. На сей раз письмо от имени Центрального Европейского банка было разослано по банкам с ящика v.constancio@ecb-europa[.]info. В письме содержится ссылка на документ 67972318.doc, якобы описывающий финансовые риски.

Файл 67972318.doc - документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия эксплоита и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, разработки Cobalt.

В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под "юридическую жалобу", а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что не характерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группа Cobalt совместной операции с другими преступными группами, в частности Anunak.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/101425/hakeryi-iz-cobalt-vnov-atakovali-rossiyskie-banki.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться